L’utilisation du cloud par les services publics : le CEPD mène l’enquête

Le 15 février dernier, et suite à la recrudescence de l’utilisation du Cloud du fait de la pandémie, le Comité européen de protection des données (CEPD) a annoncé le lancement d’une enquête sur son utilisation par le secteur public. Cette enquête à très grande échelle implique la coordination de 22 autorités de protection des données (dont le Contrôleur européen de protection des données) qui ont accepté d’y participer, et fait suite à la décision du CEPD de créer un « cadre d’application coordonné » en octobre 2020. L’objectif de cette première action en la matière est de rationaliser le processus de contrôle et la coopération des autorités de protection des données.

De manière plus concrète, les 22 autorités de protection des données, dont la CNIL, vont organiser des contrôles dans plus de 80 structures publiques à travers l’Union Européenne afin d’essayer de comprendre la manière dont ce secteur utilise les services de Cloud, et la manière dont les structures on fait pour mettre ces systèmes en conformité avec le RGPD : l’hébergement externalisé sera évidemment en ligne de mire, mais également toutes les autres formes d’informatique nuagique, tels que le IaaS (Infrastructure as a service) d’abord, le SaaS (Software as a service), ou encore le PaaS (Platform as a service). En fonction des résultats obtenus, les autorités de protection des données décideront conjointement d’établir « d’éventuelles mesures supplémentaires de surveillance ou de mesures d’exécution » .

A la fin de l’année, le CEPD publiera un rapport sur la base du panel d’informations que les différentes autorités de protection des données auront récoltées.

Le cloud : De quoi parle-t-on ?

Afin de bien comprendre ce qui fait l’objet de l’enquête du CEPD, il est important de bien comprendre ce qu’est le Cloud computing, ou, en français, l’informatique nuagique. Très souvent, vous entendrez que « le Cloud, c’est l’ordinateur d’un autre ». En termes un peu plus savants, cela correspond à l’accès à des services informatiques (serveurs, stockage, mise en réseau, logiciels) proposés par un prestataire de services en nuage (PSN) via Internet. Il existe plusieurs niveaux de prestation possibles, correspondant à une prise en charge par le prestataire d’une plus ou moins grande partie de l’architecture technique d’une application. Le tableau ci-dessous, provenant de Wikipédia, vous donne une idée assez précise des principaux services existants :

Il existe également plusieurs types de Cloud Computing : public, privé, ou hybride.

Le Cloud public, c’est la mise à disposition de services au grand public. Autrement dit, les mêmes ressources vont être allouées à plusieurs personnes différentes. Ainsi, dans le cadre d’une prestation d’hébergement, les données de multiples personnes seront stockées sur les mêmes serveurs, même si chaque espace sera virtuellement cloisonné.

Le Cloud privé (également appelé Cloud dédié), c’est la mise à disposition de ces mêmes services à une seule personne physique ou morale. Dans ce cas, cette personne peut manipuler les serveurs à sa guise, ou recourir à des prestataires de services.

Enfin, le Cloud hybride peut faire référence à deux pratiques. Tout d’abord, il peut s’agir de la mise à disposition de mêmes serveurs à plusieurs personnes différentes, mais qui partagent un intérêt commun. Il peut également s’agir de la mise à disposition, par un prestataire, de services de Cloud privé et de services de Cloud public au sein d’une même infrastructure.

A la lumière de ces quelques éléments d’explication, l’on comprend que l’enquête lancée par le CEPD avec la coopération des autorités de protection des données des Etats Membres est très large, et ne se limite pas aux services d’hébergement de données de type Microsoft Azure ou OVH Cloud. Il faut en effet inclure les autres formes de Cloud Computing, Office 365 étant un excellent exemple. Il est toutefois peu probable de trouver des administrations françaises ayant recours à ce service dans la mesure où la DINUM (Direction interministérielle du numérique) a envoyé une note à tous les ministères afin d’en prohiber l’utilisation.

En France, que va faire la CNIL ?

En France, la CNIL participe à cette action conjointe, et a d’ailleurs fait du Cloud une de ses thématiques prioritaires de contrôle en 2022 : ainsi, le secteur privé sera également visé. Cette thématique est sans aucun doute à rapprocher des récentes décisions en matière de transferts de données hors Union Européenne, en particulier vers les Etats-Unis. Autrement dit, il y a fort à parier que la Commission sera particulièrement vigilante aux moyens employés pour sécuriser ou empêcher de tels transferts lorsque les responsables de traitement utilisent les services des géants américains : Microsoft Azure, Amazon Web Services, Microsoft 365, etc..

Si le secteur privé ne sera pas épargné, il convient de souligner que les administrations seront particulièrement visées par les contrôles : l’autorité de protection des données a d’ores et déjà annoncé avoir l’intention de contrôler cinq ministères. A ce jour, ni la liste des ministères concernés ni le périmètre, ni les méthodes exactes de contrôle n’ont fait l’objet d’une communication publique. Il faut toutefois s’attendre à ce que la Commission publie un rapport détaillant ses différentes trouvailles.

Il est probable que les contrôles s’étendent sur toute l’année et vise des administrations de toutes tailles et de tous les domaines. Si vous êtes concernés, nous vous conseillons de rassembler au plus vite toute la documentation qui pourrait être utile à la CNIL dans le cadre de son enquête afin de ne pas être pris au dépourvu.